Kampania PhantomLance: Android ponownie na celowniku

PhantomLance ma być wymierzona przede wszystkim w użytkowników z terenu Azji Południowo-Wschodniej. Według Kaspersky'ego za realizacją kampanii stoją cyberprzestępcy z grupy hakerskiej OceanLotus.

Do działań w ramach kampanii PhantomLance należy zaliczyć użytkowanie oprogramowania szpiegowskiego, które służy do gromadzenia danych ofiar, a także jego dystrybucję dzięki inteligentnym taktykom, w tym - wykorzystywaniu aplikacji dostępnych w Google Play (oficjalny sklep z aplikacjami na Androida).

Eksperci z Kaspersky Lab w lipcu 2019 roku znaleźli nową próbkę oprogramowania, która była dystrybyowana właśnie w ten sposób. Po jej analizie zidentyfikowano szereg podobieństw do już obserwowanych wcześniej działań, opierających się na gromadzeniu danych o ofiarach. Złośliwe oprogramowanie osadzone w aplikacjach dostępnych w Google Play miało zbierać informacje m.in. o wykonywanych połączeniach, kontaktach i wiadomościach z telefonów użytkowników, a także rejestrować instalowane na nich programy oraz pobierać dane o urządzeniu, takie jak model i wersja systemu operacyjnego.

Kaspersky wskazuje, że chcąc zamaskować swoją aktywność w Play Store, cyberprzestępcy każdorazowo budowali fałszywe profile twórców oprogramowania i wiarygodnie wyglądające konta w serwisie GitHub. Pierwsze umieszczane z tych kont w sklepie Google'a aplikacje nie zawierały złośliwych funkcji, które były dodawane dopiero w wyniku aktualizacji.

Od 2016 roku w ramach kampanii zaobserwowano około 300 prób infekcji. Jak zwracają uwagę badacze - część aplikacji dystrybuujących oprogramowanie szpiegowskie została zbudowana wyłącznie w języku wietnamskim.

Grupa OceanLotus, której przypisuje się odpowiedzialność za te działania, jest aktywna co najmniej od 2013 roku i atakuje w szczególności cele zlokalizowane w Azji Południowo-Wschodniej.